Skip to main content

Cookie-hozzájárulás: mit ír elő valójában a törvény

A cookie-hozzájárulás a digitális adatvédelem egyik legfélreértettebb követelménye. Sok vállalkozás azt hiszi, hogy megfelel az előírásoknak, mert megjelenít egy cookie-sávot. Ám egy sáv önmagában nem hozzájárulás. A hozzájárulás egy konkrét jogi fogalom, pontos követelményekkel — és ha ezeknek nem tesz eleget, az egész adatgyűjtése jogellenessé válhat.

A jogi alapok

A cookie-hozzájárulás két jogi pilléren nyugszik:

Az ePrivacy irányelv 5. cikkének (3) bekezdése határozza meg a követelményt: a felhasználó eszközén tárolt vagy onnan lekért információhoz a felhasználó hozzájárulása szükséges, kivéve, ha a tárolás feltétlenül szükséges egy, a felhasználó által kifejezetten kért szolgáltatáshoz. Ez az a szabály, amely kifejezetten a cookie-kra vonatkozik.

A GDPR 4. cikkének 11. pontja határozza meg, mit jelent a hozzájárulás: „az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”

Ez a két rendelkezés együtt működik. Az ePrivacy irányelv megmondja, mikor van szükség hozzájárulásra (a nem alapvető cookie-khoz). A GDPR megmondja, hogyan néz ki az érvényes hozzájárulás. Mindkettőnek teljesülnie kell.

Az érvényes hozzájárulás öt követelménye

A GDPR 4. cikkének 11. pontja, a 7. cikk, valamint az EDPB hozzájárulásról szóló 05/2020. számú iránymutatása alapján az érvényes cookie-hozzájárulásnak öt feltételnek kell megfelelnie:

1. Önkéntes

A felhasználónak valódi választási lehetőséggel kell rendelkeznie. A hozzájárulás nem önkéntes, ha:

  • A hozzáférés a hozzájáruláshoz kötött. Ha a felhasználó nem tudja használni a weboldalt anélkül, hogy minden cookie-t elfogadna (ez a „cookie-fal”), a hozzájárulás nem önkéntes. Az EDPB megerősítette ezt az álláspontot, bár egyes nemzeti adatvédelmi hatóságok bizonyos körülmények között megengedik a korlátozott cookie-falakat — különösen akkor, ha létezik valódi alternatíva (például egy fizetős, cookie-mentes verzió).
  • Jelentős erőviszonybeli egyenlőtlenség áll fenn. Munkáltató–munkavállaló vagy kormányzat–állampolgár viszonyban a hozzájárulás nem feltétlenül önkéntes. A legtöbb weboldal esetében ez kevésbé releváns, de számít a kormányzati szolgáltatásoknál és a belső hálózati platformoknál.
  • A visszautasítás jelentősen nehezebb, mint az elfogadás. Ha az „Összes elfogadása” egy jól látható gomb, az „Összes elutasítása” viszont a beállítások közötti navigálást igényel, a hozzájárulás nem önkéntes. Az olasz Garante és a francia CNIL egyaránt kiadott olyan konkrét iránymutatást, amely megköveteli, hogy a cookie-k elutasítása ugyanolyan egyszerű legyen, mint az elfogadásuk.

2. Konkrét

A hozzájárulást minden egyes külön célra önállóan kell megadni. Ezért léteznek a cookie-kategóriák. Egy érvényes hozzájárulási mechanizmusnak lehetővé kell tennie, hogy a felhasználók elfogadják az analitikai cookie-kat, miközben elutasítják a marketingcookie-kat, vagy fordítva. Az összes cookie egyetlen „elfogadás” vagy „elutasítás” gombba történő összecsomagolása nem felel meg a konkrétság követelményének — bár elfogadható, ha a kategóriánkénti vezérlők mellett gyorsgombként felkínálják az „Összes elfogadása” és „Összes elutasítása” lehetőségeket is.

3. Megfelelő tájékoztatáson alapuló

A hozzájárulás megadása előtt a felhasználót tájékoztatni kell arról, hogy:

  • Ki állítja be a cookie-kat (a weboldal üzemeltetője és minden harmadik fél)
  • Mit csinál az egyes cookie-kategóriák
  • Meddig maradnak érvényben a cookie-k
  • Hogyan lehet visszavonni a hozzájárulást

Ezt az információt világosan és közérthető nyelven kell közölni. Egy 5000 szavas, három kattintás mögé rejtett cookie-szabályzat semmilyen értelmes módon nem teszi „megfelelő tájékoztatáson alapulóvá” a hozzájárulást. A hozzájárulási mechanizmus első rétegének elegendő információt kell tartalmaznia ahhoz, hogy a felhasználó megalapozott döntést hozhasson.

4. Egyértelmű

A hozzájárulás egyértelmű, megerősítést kifejező cselekedetet igényel. A felhasználónak aktívan tennie kell valamit a hozzájárulás jelzésére — kattintania egy gombra, bejelölnie egy jelölőnégyzetet, átkapcsolnia egy kapcsolót.

Ami NEM minősül egyértelmű hozzájárulásnak:

  • Előre bejelölt jelölőnégyzetek. Az Európai Unió Bírósága a Planet49 ügyben (C-673/17. sz. ügy, 2019. október) egyértelműen kimondta, hogy az előre bejelölt négyzetek nem minősülnek érvényes hozzájárulásnak. Ez vonatkozik azokra a cookie-hozzájárulási beállításokra is, ahol a kategóriák alapértelmezés szerint be vannak jelölve.
  • A böngészés folytatása. Az „Ha tovább használja ezt az oldalt, hozzájárul a cookie-khoz” nem érvényes hozzájárulás. A puszta görgetés vagy egy hivatkozásra kattintás nem „egyértelmű kinyilvánítás”. Több adatvédelmi hatóság is megerősítette ezt, és az EDPB iránymutatásai kifejezetten kitérnek erre.
  • Böngészőbeállítások. A felhasználó böngészőbeállításaira mint a hozzájárulás egy formájára való hivatkozást a szabályozó hatóságok elutasították. A weboldal üzemeltetőjének közvetlenül kell beszereznie a hozzájárulást.
  • Hallgatás vagy tétlenség. Ha a felhasználó figyelmen kívül hagyja a sávot és tovább böngészik, az nem hozzájárulás. Semmilyen cookie nem helyezhető el, amíg a felhasználó nem hozott aktív döntést.

5. Előzetes

Bár a GDPR 4. cikkének 11. pontja nem sorolja fel külön elemként, az ePrivacy irányelv egyértelművé teszi, hogy a hozzájárulást a cookie-k elhelyezése előtt kell beszerezni. Ez az a követelmény, amelynek sok weboldal még mindig nem tesz eleget. Az oldal betöltésekor lefutó szkriptek — amelyek analitikai és marketingcookie-kat állítanak be, mielőtt a felhasználó egyáltalán meglátta volna a hozzájárulási sávot — megsértik ezt az alapvető követelményt.

Technikailag ez azt jelenti, hogy a nem alapvető szkripteket blokkolni kell, amíg a hozzájárulást meg nem adják. Ha csupán megjelenítünk egy sávot, miközben a cookie-kat már beállítottuk, az nem elégíti ki az előzetes hozzájárulás követelményét.

Hogyan néz ki az érvényes hozzájárulás a gyakorlatban

Egy szabályoknak megfelelő cookie-hozzájárulási megvalósítás:

  1. Minden nem alapvető cookie-t blokkol azelőtt, hogy a felhasználó interakcióba lépne a hozzájárulási mechanizmussal.
  2. Világos első réteget jelenít meg, amely elmagyarázza a használt cookie-kategóriákat, és lehetőséget kínál mindegyik kategória elfogadására vagy elutasítására.
  3. Az „Összes elfogadása” és az „Összes elutasítása” lehetőséget ugyanolyan hangsúllyal kínálja fel — azonos méretben, azonos vizuális súllyal, azonos számú kattintással.
  4. Nem alkalmaz megtévesztő mintázatokat — nincsenek félrevezető gombszínek, elrejtett elutasítási lehetőségek, összezavaró megfogalmazások vagy az elfogadás felé terelgetés.
  5. Egy részletes cookie-szabályzatra hivatkozik, amely név, cél, időtartam és szolgáltató szerint felsorolja az összes cookie-t.
  6. Rögzíti a hozzájárulást időbélyeggel, valamint azzal, hogy a felhasználó mely konkrét kategóriákat fogadta el vagy utasította el.
  7. Csak azokat a releváns szkripteket futtatja, amelyekre az adott kategóriához hozzájárulást adtak.

A hozzájárulás életciklusa

A hozzájárulás nem egyszeri esemény. Van egy életciklusa, amelyet a megvalósításnak támogatnia kell:

Gyűjtés

Első látogatás: jelenjen meg a hozzájárulási mechanizmus, blokkolja a nem alapvető cookie-kat, és várja meg a felhasználó cselekvését.

Tárolás

Amikor a hozzájárulást megadták, tárolja a felhasználó döntését egy feltétlenül szükséges cookie-ban (ehhez a cookie-hoz nincs szükség hozzájárulásra, mivel a felhasználó adatvédelmi preferenciáinak tiszteletben tartásához szükséges). Emellett tároljon egy szerveroldali rekordot is a hozzájárulás bizonyítékaként.

Alkalmazás

A további oldalbetöltéseknél olvassa be a hozzájárulási cookie-t, és csak azokat a szkripteket futtassa, amelyek a felhasználó által elfogadott kategóriáknak felelnek meg. Ne jelenítse meg újra a sávot — tartsa tiszteletben a tárolt döntést.

Visszavonás

A GDPR 7. cikkének (3) bekezdése egyértelmű: „A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.” A weboldalnak állandó, könnyen hozzáférhető módot kell biztosítania arra, hogy a felhasználók bármikor módosíthassák cookie-preferenciáikat. Gyakori megoldás egy kis ikon vagy hivatkozás a láblécben, amely újra megnyitja a hozzájárulás-kezelő felületet.

Megújítás

A hozzájárulás nem tart örökké. A CNIL azt javasolja, hogy a hozzájárulást 13 havonta újítsák meg. Az EDPB nem határozott meg konkrét időtartamot, de megköveteli, hogy a hozzájárulás érvényes maradjon, és hogy a felhasználó döntése továbbra is tükrözze tényleges szándékát. Bevált gyakorlat, hogy legalább évente egyszer, illetve valahányszor a cookie-használat jelentősen megváltozik, újra bekérjük a hozzájárulást.

Változások

Ha új cookie-kat, új harmadik féltől származó szolgáltatásokat vagy új célokat vezet be, előfordulhat, hogy a meglévő hozzájárulás ezekre már nem terjed ki. A felhasználókat újra meg kell kérni, hogy adják meg (vagy tagadják meg) a hozzájárulást az új adatkezeléshez.

Hozzájárulási rekordok és bizonyíték

A GDPR 7. cikkének (1) bekezdése kimondja: „Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.” A cookie-hozzájárulás esetében ez azt jelenti, hogy nyilvántartást kell vezetnie arról, hogy:

  • Mikor adták meg a hozzájárulást (időbélyeg)
  • Mihez járult hozzá a felhasználó (mely kategóriákat fogadta el, melyeket utasította el)
  • Hogyan gyűjtötték be a hozzájárulást (hogyan nézett ki a hozzájárulási mechanizmus az adott időpontban — egy verzióazonosító vagy képernyőkép)
  • Ki adta meg a hozzájárulást (általában egy anonimizált azonosító, nem a felhasználó neve)

Ha egy szabályozó hatóság arra kéri, hogy bizonyítsa: egy adott cookie-t érvényes hozzájárulással helyeztek el, ezek a rekordok a védekezése. Nélkülük semmilyen bizonyítéka nincs arra, hogy a hozzájárulási mechanizmusa működik — a bizonyítási teher pedig Önt terheli, nem a szabályozó hatóságot.

Gyakori hozzájárulási hibák

Az Európa-szerte lefolytatott végrehajtási eljárások alapján ezek a leggyakrabban büntetett hozzájárulási hibák:

  1. Hozzájárulás előtt elhelyezett cookie-k. Analitikai és marketingszkriptek, amelyek az oldal betöltésekor futnak le, még mielőtt a felhasználó interakcióba lépne a sávval.
  2. Nincs elutasítási lehetőség az első rétegen. Arra kényszerítik a felhasználókat, hogy a cookie-k elutasításához a „Beállítások” vagy a „Preferenciák kezelése” gombra kattintsanak, miközben az „Összes elfogadása” azonnal elérhető.
  3. Előre bejelölt kategóriák. Olyan hozzájárulási kapcsolók, amelyek az analitika és a marketing esetében alapértelmezés szerint „be” állásban vannak.
  4. A hozzájárulás visszavonásának lehetetlensége. Miután a sávot elutasították, a felhasználónak nincs módja megváltoztatni a döntését.
  5. Hozzájárulási fal / cookie-fal. A tartalomhoz való hozzáférés blokkolása, hacsak nem fogadják el az összes cookie-t.
  6. Megtévesztő kialakítás. Zöld szín használata az „Elfogadáshoz” és szürke az „Elutasításhoz”, az elfogadás gomb nagyobbra méretezése, vagy összezavaró megfogalmazások, mint például „Folytatás elfogadás nélkül” szemben az „Elfogadás és folytatás” lehetőséggel.

A Passiro átvizsgálja a weboldala cookie-hozzájárulási megvalósítását, és ellenőrzi ezeket a gyakori hibákat, segítve, hogy azonosítsa és orvosolja a megfelelőségi hiányosságokat, mielőtt egy szabályozó hatóság tenné meg.

Következő: mikor is szükséges pontosan a hozzájárulás? A válasz néhány fontos árnyalatot tartalmaz, köztük a feltétlenül szükséges kivételt és a saját tulajdonú (first-party) analitika körüli folyamatos vitát.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen